Topics

Hallo zusammen,

ich bin inzwischen seit einigen Jahren überzeugter OPNsense User im Firmen-Umfeld. Jetzt ist es aber bald soweit, dass ich zuhause auch einen Glasfaser-Anschluss bekomme. In dem Zuge möchte ich die Fritzbox ablösen und eine OPNsense installieren. Mir geht es vorrangig darum einen 10G WAN und einen 10G LAN Port zu haben. Mehr benötige ich nicht. Ideal wäre wenn diese beiden Ports SFP+ wären sodass ich frei wählen kann ob Glasfaser oder Kupfer-Modul. Aktuell verfüge ich nur über eine 10G Kupfer Verkabelung von ONT zur Wohnung. Das wird sich so schnell auch nicht ändern.

Ziel wird es sein die OPNsense via BGP mit dem Provider zu verbinden. Das ganze soll zum XGS-PON Test dienen, da ich selbst der Backbone Techniker des Providers bin. :D

Gibt es Erfahrungen/Tests bezüglich solch einer Hardware? Ich hatte das Ganze mit einer Sophos XGS136 getestet. Aber da fehlen wohl noch immer die passenden Treiber der Netzwerk-Interfaces für FreeBSD. Wäre halt schön gewesen bezüglich Preis/Leistung und da es sich nicht um ein 19-Zoll Gerät handelt. Denn es ist kein Serverschrank vorhanden.

Und wie immer ... das ganze soll idealerweise kein Vermögen kosten.

Vielen Dank für eure Ideen :)

Hallo zusammen,

ich möchte aktuell eine OPNsense mit einem DHCP-Server ausrollen. Die "Besonderheit" ist allerdings, dass ich die Option 43 an alle Clients senden möchte. Es ist die aktuellste OPNsense Version installiert und ich nutze den ISC-DHCP, da der KEA noch keine Options in der GUI ermöglicht. ISC-DHCP Option 43 konfiguriere ich normal in der GUI über Advanced und dann Option 43 als String und den entsprechenden HEX-Wert meiner URL, die mitgegeben werden soll.

Der DHCP-Client muss diese Information bei jedem DHCPOFFER vom Server gesendet bekommen. Das macht die Sense wohl nicht von sich aus.

Mit einem ISC-DHCP auf einer normalen Linux-Kiste geht das ohne Probleme mit folgenden Parametern:
option dhcp-parameter-request-list 3, 5, 6, 43;
option vendor-encapsulated-options 68:74:74:......;


Auch beim Mikrotik Board hat man im DHCP Server die Möglichkeit "force" mitzugeben, sodass dies funktioniert.

Kann mir da jemand einen Tipp geben oder hatte ein ähnliches Problem schon mal?

Danke euch!

Hallo zusammen,

ich verzweifle grade an der PPPoE Konfiguration meiner OPNsense. Ist nicht die erste Instanz unter meiner Administration, allerdings kam ich mit PPPoE nie in Berührung.

Ich habe eine virtualisierte OPNsense und möchte gerne eine PPPoE Einwahl über ein Interface machen. Das entsprechende VLAN und die Einwahl-Daten habe ich konfiguriert. Allerdings wird bisher keine Verbindung aufgebaut. Ich habe nicht wie viele andere ein physikalisches Modem im Einsatz. Daher nun meine Frage ob das überhaupt so funktionieren kann, wie ich mir das wünsche?

LG

Hallo zusammen,

ich habe mal eine Frage bezüglich einem route-based VPN. Und zwar handelt es sich um folgendes Szenario:

Ich verwalte auf meiner Seite eine OPNsense. Die Gegenseite ist ein fremd-verwaltetes Amazon AWS Netzwerk zu dem eine route-based VPN-Verbindung aufgebaut wird. Der Tunnel ist online (Phase1 und Phase 2 erfolgreich aufgebaut).
Die Gegenseite erwartet (aus Gründen) aber ein anderes als mein LAN-Netz (ein /16). In der alten FW (FortiGate) konnte ich das NAT ohne Probleme konfigurieren. In der Sense bekomme ich das nicht ans Laufen. Weder per One-To-One BI-NAT noch per Outbound NAT-Regel. Sobald die NAT Regel greift, läuft der Traffic nicht ins VPN rein. Deaktiviere ich sämtliche NAT-Regeln für diesen Traffic, landet der Traffic mit seiner richtigen IP-Adresse im VPN. Die Gegenseite kann aber nicht mit der Adresse arbeiten und erwartet wie gesagt ein anderes Netz.

Ist das schlichtweg nicht möglich? Muss ich vllt zusätzlich SPD Einträge setzen? Das kann man ja in einem "normalen" Tunnel einfach in der Phase2 konfigurieren.

Hallo zusammen,

ich habe aktuell das Problem, dass die Routen nicht mehr automatisch angelegt werden wenn ein rule-based IPsec VPN online geht. Das betrifft aktuell glücklicherweise nur einen Tunnel. Es führt allerdings zu sehr komischen Effekten.

Version:
OPNsense 21.7.5-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Sowohl in der Tunnel Konfiguration als auch in der IPsec Konfiguration ist aktiviert, dass die Routen/Rules automatisch angelegt werden.

Konfiguriere ich die Routen händisch, funktioniert das auch nicht wirklich.

Ist das eventuell ein bekanntes Problem? Workaround? Kann das durch eine Vielzahl von IPsec VPNs bedingt sein ? Das ist Tunnel Nummer 31

Hallo zusammen,

ich möchte gerne mehrere OPNsense Instanzen auf einen Syslog-Server loggen lassen. Bei dem ersten System funktioniert das auch wunderbar.

Bei den anderen Systeme stellt sich mir nun die Frage ob ich den Traffic zum Syslog-Server über ein bestimmtes Interface raus geben kann? In der GUI sehe ich keine Möglichkeit das zu konfigurieren. Aktuell wird scheinbar automatisch das WAN Interface verwendet. Das ist bei meinem Setup aber so nicht umsetzbar und ich würde das gerne ändern.

Vielleicht kann mir ja jemand einen Tipp geben oder steht vor dem gleichen Problem.

Eingesetzte Version: OPNsense 21.7.5-amd64

Vielen Dank und schöne Grüße,
Björn

Hallo zusammen,

ich habe aktuell mal wieder ein kleines Problem bezüglich IPsec VPN auf der OPNsense 20.1.7 (virtualisiert).

Es handelt sich um Site-To-Site IPsec VPN (IKEv1) mit zwei Phase2 Einträgen. Aktiviert ist Tunnel Isolation und entsprechende SPD Entries für das Source NAT.

"Outgoing NAT" wurde ebenfalls für beide Netze der Phase2 konfiguriert.

Jedoch funktioniert der "genattete" Zugriff nur für je eine Phase2. Ohne NAT (direkt aus dem im VPN konfigurierten Netz) funktioniert der Zugriff auf beide Zielnetze einwandfrei.

Gibt es da noch irgendwo einen Trick, Kniff oder eine Info wie ich das angehen kann? Oder funktioniert das schlichtweg nicht? In meiner vorherigen FortiGate funktionierte sowas wunderbar. Das fehlt mir aktuell ein wenig.

Vielen Dank im Voraus!

Guten Morgen und ein frohes neues Jahr zusammen!

Ich suche seit Tagen vergebens nach einer Lösung für mein Problem. Ich habe mehrere unter VMWare ESXi virtualisierte OPNsense Installationen. Möchte ich nachträglich ein Netzwerk-Interface zur VM hinzufügen, erkennt die OPNsense dies leider nicht. Erst ein Neustart schafft Abhilfe. Dies ist sicher nicht im Sinne des Erfinders. Ich möchte nicht für jedes neue Netzwerk einen Neustart durchführen.

Gibt es eine Möglichkeit die Interfaces zu scannen? Muss ein besonderer Dienst neugestartet werden?

Top-Aktuelle Version ist installiert.

Gruß,
Björn